6.1 Conclusies
Het belang, de urgentie en de risico’s van informatiebeveiliging en gegevensbescherming worden zeker erkend door zowel de gemeenteraad, bestuur als ambtenaren bij de gemeente Geldrop-Mierlo.
De laatste jaren is door velen hard gewerkt aan dit onderwerp, wat wordt betiteld als taai en weinig
‘sexy’. De basis en governance op het gebied van informatiebeveiliging en gegevensbescherming zijn bij de gemeente Geldrop-Mierlo deels op orde. Dat geldt dus, in het verlengde hiervan, ook voor de Dienst Dommelvallei waarin de gemeente met andere gemeenten o.a. op ICT samenwerkt. Beleid op informatiebeveiliging en privacy wordt gedragen door college en management. Middelen en
menskracht voor de noodzakelijke maatregelen op informatiebeveiliging en privacy worden vrijwel altijd welwillend en tijdig ter beschikking gesteld.
De gemeente stuurt op de BIG en de AVG en de specifieke functies zoals voorzien in de BIG en de AVG zijn ingevuld. In 2015 is het informatiebeveiligingsbeleid vastgesteld, maar nog niet alle maatregelen uit het laatste jaarplan, dat dateert uit 2016, zijn in het eerste kwartaal van 2019 gerealiseerd. De noodzakelijke assessments en audits worden uitgevoerd en leiden tot de
noodzakelijke verbeteringen. Dit geldt in het bijzonder vanaf 2017 mede in het kader van de ENSIA-rapportages. Het overall beeld is dat de prioriteit lijkt te liggen bij het signaleren van problemen en nemen van maatregelen dit in tegenstelling tot een meer gestructureerde aanpak op informatie-beveiliging op basis van risicoanalyses. Dat blijkt uit het niet tijdig vernieuwen van
informatiebeveiligingsbeleid en -plannen. De BIG, en vooral de BIO die vanaf 2020 geldt, vergt een informatiebeveiligingsbeleid dat gericht is op een gestructureerde aanpak van risico's. De gemeente en de DD geven aan bezig te zijn zich daarop voor te bereiden vanaf het najaar 2019.
Een plan van aanpak met maatregelen in het kader van gegevensbescherming is er al vanaf 2016, nog op basis van de Wbp en nog ruim voor de implementatie van de AVG. In die tijd liep de gemeente Geldrop-Mierlo voorop wat betreft gegevensbescherming. In die tijd heeft de gemeente een aantal maatregelen genomen, die nu in het kader van de AVG geüpdatet moeten worden. Zoals de procedure melden datalekken, verwerkersovereenkomsten en het verwerkingsregister. Het verwerkingsregister moet nog door de afdelingshoofden gecompleteerd worden. Op de verwerkersovereenkomsten is de gemeente bezig met een inhaalslag, op basis van de nieuwe standaard van de IBD. Een data protection impact assessment is bijna afgerond en er staat nog een aantal in de planning. De conclusies is dat de kennis aanwezig is en dat de medewerkers van zowel de gemeente Geldrop-Mierlo als DD op dit moment hard werken om alles voor elkaar te krijgen. Hierbij ziet de rekenkamercommissie dat getracht wordt een omslag te bewerkstelligen van reactief werken (oplossen van problemen) naar een meer risicogestuurde aanpak.
De functies op informatiebeveiliging en gegevensbescherming zijn door de DD ingevuld, maar hebben voor de aantal organisaties (drie gemeenten en de DD zelf) die zij moeten bedienen een te beperkte capaciteit. De functies, bedoeld voor advies en toezicht, zijn een het overgrote deel van hun tijd operationeel bezig. Adequate vervanging bij vakantie en ziekte is op hoofdlijnen geregeld. Als zich een incident voordoet vraagt de rekenkamercommissie zich af of de vervanging in voldoende mate in staat is qua kennis en ervaring om daadwerkelijk te handelen. Dit is dan ook zeker een aandachtspunt. Voor de FG is een uitbreiding in de planning naar 40 uur per week en er staat (maart
2019) een vacature open. Op gegevensbescherming is een privacybeheerder in de gemeentelijke organisatie aanwezig, maar een dergelijke functie ontbreekt op informatiebeveiliging.
De gemeenteraad is incidenteel geïnformeerd over informatiebeveiliging en privacy. Daarover werd In het kader van bedrijfsvoering kort gerapporteerd in de jaarstukken. Vanaf 2017 krijgt de raad jaarlijks op basis van ENSIA gerapporteerd over de assessments, evaluaties en beheersmaatregelen op informatiebeveiliging en privacy. Het vormvrije deel van ENSIA-rapportage richting de
gemeenteraad is in Geldrop-Mierlo nog niet nader ingevuld. College en ambtenaren geven aan hierop geen aparte rapportagestroom naar de gemeenteraad op te willen zetten. Getracht wordt deze onderwerpen op hoofdlijnen en in een praktische context te behandelen.
Ambtenaren die de assessments en evaluaties moeten uitvoeren en ENSIA moeten vullen, geven aan dat het een grote opgave is en veel tijd vraagt. Een ISMS, dat geautomatiseerd rapportages kan genereren en met ENSIA gekoppeld kan worden, ontbreekt. Daarmee ontbreekt ook een koppeling van de eventuele beheersmaatregelen die uit de rapportages naar voren komen met de PDCA-cyclus.
Daardoor lijken de verbetermaatregelen te weinig te beklijven. De maatregelen moeten door het functionele beheer in de afdelingen geïmplementeerd worden, maar daarvoor ontbreekt vooralsnog een procesmatige aanpak. Een gestructureerd beheer van wijzigingen, zoals in applicaties en
hardware, is in ontwikkeling. Op een aantal punten is geen expliciet beleid geformuleerd, zoals het 'bring' of 'choose your own device'. Dat staat wel in de planning, maar een aantal respondenten geeft aan dat er in het algemeen meer procedures op papier gezet en meer processen vastgelegd kunnen worden.
Verlenen en wijzigen van autorisaties op de toegang tot gegevens in applicaties is een punt van aandacht, zoals in veel organisaties. Structurele jaarlijkse controle van de autorisaties op netwerkniveau heeft voor het eerst recent plaats gevonden. Er zijn overleggen tussen
afdelingshoofden en P&O hierover en controles op inactieve accounts van medewerkers vinden plaats. Bij functiewisseling en uitdiensttreding, vooral bij externe inhuur, liggen risico's op
ongeautoriseerde toegang tot informatie. Een punt van aandacht in controle en verantwoording is de logging van de toegang tot informatie. In de meeste systemen die de gemeente gebruikt ontbreekt deze functionaliteit, behalve daar waar het verplicht is, zoals bij de BRP. Aangegeven wordt dat gekeken wordt naar deze functionaliteit bij vernieuwing van de systemen. Tevens wordt aangegeven dat er te beperkte capaciteit is om de vele gegevens die deze registratie oplevert te bekijken en te interpreteren.
Met betrekking tot de continuïteit van de bedrijfsvoering en de dienstverlening van de gemeente zijn op onderdelen continuïteitsplannen aanwezig, maar er ontbreekt een integraal plan. De individuele plannen worden wel getest. Op de punten waarop het vanwege de audits verplicht is worden technische testen op systemen uitgevoerd. Maar de gemeente noch de DD laten uitgebreide
technische testen door externen of ethische hackers uitvoeren. De rekenkamercommissie heeft geen dergelijke technische testen uitgevoerd op de systemen en infrastructuur van de DD of de gemeente.
De rekenkamercommissie kan dus geen conclusies trekken die ingaan op de kwetsbaarheid van de systemen. Ook zijn geen phishing mail-campagnes uitgevoerd om de 'awareness' of bewustwording van risico's op informatiebeveiliging bij medewerkers te testen.
De meeste respondenten geven aan dat de awareness op informatiebeveiliging en privacy bij management en medewerkers de laatste jaren is toegenomen. De FG, CISO en privacybeheerder
gaan langs bij de afdelingen als er vragen zijn, maar voor een structureel regelmatig bezoek
ontbreekt de capaciteit. Medewerkers zijn bezig met deze onderwerpen en komen met vragen naar de FG, CISO en privacybeheerder. De medewerkers wijzen elkaar, volgens meerdere respondenten, in toenemende mate op risicovol gedrag en de medewerkers hebben in 2017-2018 via een e-learning module kennis kunnen opdoen van de risico's op informatiebeveiliging. E-learning is een extensieve manier van awareness ondersteunen en verstevigen, en de vraag is hoeveel kennis op de lange duur bij de medewerkers beklijft. Het is een zaak om continu en intensief inzetten op bewustwording in de gehele organisatie, daar de dreigingen toenemen, zie bijlage 3. Daarbij komt ook het feit dat de krapte op de arbeidsmarkt leidt dat het lastig kan zijn om mensen met de schaarse kennis op informatiebeveiliging en privacy aan te trekken en te binden.
6.2 Aansporingen en aanbevelingen
De rekenkamercommissie doet naar aanleiding van bovenstaande conclusies de volgende
aansporingen en aanbevelingen. De rekenkamercommissie geeft aansporingen aan de gemeente en de DD. Zij zijn continu bezig met nieuw beleid en dit rapport wil suggesties meegeven om met een aantal activiteiten en aanpakken door te gaan. De rekenkamercommissie geeft een aantal
aanbevelingen aan college en raad die een urgenter karakter hebben.
De rekenkamercommissie doet de gemeenten de aansporingen om:
- verder te gaan met implementatie van de AVG;
- verder te gaan met awareness campagnes en deze intensiveren;
- verder te gaan met de aanschaf van een ISMS en te koppelen aan de PDCA-cyclus;
- de procesmatige aanpak van wijzigingsbeheer te implementeren;
- de procedure op autorisaties te evalueren;
- de voorbereiding op BIO ter hand te nemen.
De rekenkamercommissie beveelt het college aan om:
- de jaarplanning en P&C-cyclus op informatiebeveiliging en privacy beter te borgen;
- pen-testen te laten uitvoeren door externe ethische hackers en daarmee het interne en externe beveiligingsniveau op het gewenste peil te brengen;
- meer risicogestuurd op informatiebeveiliging en gegevensbescherming te gaan werken - capaciteit op informatiebeveiliging en gegevensbescherming bij de gemeente en Dienst
Dommelvallei op adequaat niveau te brengen;
- de positie van de CISO te versterken (zie ook bijlage 3, Dreigingsbeeld informatiebeveiliging 2019/2020 van IBD);
- een integraal continuïteitsplan op te stellen;
- zorg te dragen voor logging op de cruciale applicaties en systemen.
De rekenkamercommissie beveelt de raden aan:
- met college in gesprek te gaan over de wijze waarop de raad geïnformeerd wil worden in het kader van ENSIA, vooral over het vormvrije deel (verbetermaatregelen, meerjarenbeleid en datalekken);
- het college de opdracht te geven in het kader van ENSIA jaarlijks te rapporteren over de bovenstaande aansporingen en aanbevelingen.